Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.18 — Fehlplanung oder fehlende Anpassung

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.1A.5.2A.5.3A.5.4A.5.5A.5.6A.5.7A.5.8A.5.9A.5.10A.5.11A.5.12A.5.13A.5.14A.5.15A.5.16A.5.17A.5.18A.5.19A.5.20A.5.21A.5.22A.5.23A.5.24A.5.25A.5.26A.5.27A.5.28A.5.29A.5.30A.5.31A.5.32A.5.33A.5.34A.5.35A.5.36A.5.37A.6.1A.6.2A.6.3A.6.4A.6.5A.6.6A.6.7A.6.8A.7.1A.7.2A.7.3A.7.4A.7.5A.7.6A.7.7A.7.9A.7.10A.7.11A.7.12A.7.13A.7.14A.8.1A.8.2A.8.3A.8.4A.8.5A.8.6A.8.7A.8.8A.8.9A.8.10A.8.11A.8.13A.8.14A.8.15A.8.16A.8.17A.8.18A.8.19A.8.20A.8.21A.8.22A.8.23A.8.24A.8.25A.8.26A.8.27A.8.28A.8.29A.8.30A.8.31A.8.32A.8.34 BSI IT-GrundschutzISO 27001ISO 27002

Ein Unternehmen wechselt seinen E-Mail-Server, passt aber die Firewall-Regeln nicht an. Die alten Regeln verweisen auf IP-Adressen, die nun einer anderen Anwendung zugeordnet sind. Drei Monate lang ist der interne Mailverkehr unverschlüsselt über das Internet erreichbar — und niemand bemerkt es, weil die Zuständigkeit für Firewall-Änderungen nirgends dokumentiert ist.

Fehlplanung und fehlende Anpassung gehören zu den heimtückischsten Gefährdungen, weil sie keine direkte Angriffshandlung erfordern. Das BSI führt sie als elementare Gefährdung G 0.18. Der Schaden entsteht schleichend — durch organisatorische Lücken, veraltete Konfigurationen und unklare Verantwortlichkeiten.

Was steckt dahinter?

Organisatorische Abläufe, technische Architekturen und Sicherheitsmaßnahmen müssen zur tatsächlichen Betriebsumgebung passen. Wenn sich die Umgebung ändert — neue Systeme, neue Mitarbeiter, neue Geschäftsprozesse, neue Bedrohungen — und die Sicherheitsmaßnahmen nicht mitziehen, entstehen Lücken. Diese Lücken sind oft unsichtbar, weil jeder einzelne Prozessschritt korrekt funktioniert — das Zusammenspiel aber nicht mehr stimmt.

Typische Planungsfehler

  • Unklare Verantwortlichkeiten — Aufgaben sind keiner konkreten Person oder Rolle zugewiesen. Patches bleiben ungespielt, weil sich niemand zuständig fühlt. Sicherheitsvorfälle werden nicht gemeldet, weil der Meldeprozess unklar ist.
  • Veraltete Architekturen — Die Netzwerksegmentierung stammt aus einer Zeit, als das Unternehmen halb so groß war. Neue Cloud-Dienste werden ohne Anpassung der Firewall-Regeln angebunden. Legacy-Systeme, für die es keine Updates mehr gibt, laufen weiter im Produktivnetz.
  • Fehlende Berücksichtigung von Sicherheitsanforderungen bei der Beschaffung — Hardware und Software werden nach Funktionalität und Preis ausgewählt, ohne Sicherheitskriterien zu berücksichtigen. Die Folge: nachträgliche (teure) Absicherung oder — häufiger — dauerhafte Schwachstellen.
  • Abhängigkeiten, die bei der Planung übersehen wurden — Ein Wartungsfenster für das Netzwerk unterbricht einen Geschäftsprozess, den niemand als netzwerkabhängig erkannt hat. Ein Zulieferer meldet Insolvenz an, und die Ersatzteilversorgung für kritische Systeme bricht zusammen.

Schadensausmass

Fehlplanung betrifft alle drei Schutzziele. Veraltete Konfigurationen öffnen Angriffswege (Vertraulichkeit, Integrität); fehlende Redundanz und nicht angepasste Wartungsprozesse bedrohen die Verfügbarkeit. Das tückische: Der Schaden tritt oft zeitversetzt ein, Wochen oder Monate nach der eigentlichen Planungslücke — und wird dann einer anderen Ursache zugeschrieben.

Praxisbeispiele

Wartungsvertrag ohne Sicherheitsanforderungen. Ein Unternehmen schließt einen Wartungsvertrag für seine Produktionssteuerung ab. Der Vertrag regelt Reaktionszeiten und Ersatzteile, enthält aber keine Sicherheitsanforderungen. Der Dienstleister nutzt für die Fernwartung ein unverschlüsseltes Protokoll und ein Standardpasswort. Ein Angreifer nutzt genau diesen Zugang, um in die Produktionsumgebung einzudringen.

Bauliche Änderung ohne Anpassung der Fluchtpläne. Bei einem Umbau werden Wände versetzt und Zugänge verändert. Die Fluchtwegpläne werden nicht aktualisiert. Bei einer Evakuierung folgen Mitarbeiter den veralteten Plänen und geraten in Sackgassen — die Evakuierungszeit verdoppelt sich.

Cloud-Migration ohne Firewall-Anpassung. Ein Unternehmen migriert seine Kundendatenbank in die Cloud, passt aber die Netzwerkrichtlinien nicht an. Der Datenbankport bleibt für das alte interne Netzwerksegment offen — und ist nun auch aus dem öffentlichen Internet erreichbar. Erst ein externer Penetrationstest deckt die Fehlkonfiguration auf.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 90 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.18 verknüpft der BSI-Grundschutzkatalog mit praktisch allen Bausteinen — ein Beleg dafür, wie grundlegend diese Gefährdung ist. Besonders relevant:

  • ISMS.1 (Sicherheitsmanagement) — Der zentrale Baustein: Anforderungen an Planung, Umsetzung und kontinuierliche Verbesserung des ISMS.
  • OPS.1.1.1 (Allgemeiner IT-Betrieb) — Organisatorische und technische Anforderungen an den laufenden Betrieb.
  • OPS.1.2.2 (Archivierung) — Langfristige Planungsanforderungen für die Aufbewahrung von Informationen.
  • DER.3.1 (Audits und Revisionen) — Systematische Überprüfung der Sicherheitsmaßnahmen auf Aktualität und Wirksamkeit.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.1 Informationssicherheitsrichtlinien A.5.2 Rollen und Verantwortlichkeiten A.5.3 Aufgabentrennung A.5.4 Verantwortlichkeiten der Leitung A.5.5 Kontakt mit Behörden A.5.6 Kontakt mit Interessengruppen A.5.7 Bedrohungsintelligenz A.5.8 Informationssicherheit im Projektmanagement A.5.9 Inventar der Informationswerte A.5.10 Akzeptable Nutzung von Informationswerten A.5.11 Rückgabe von Werten A.5.12 Klassifizierung von Informationen A.5.13 Kennzeichnung von Informationen A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.16 Identitätsmanagement A.5.17 Authentifizierungsinformationen A.5.18 Zugriffsrechte A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Informationssicherheit in Lieferantenvereinbarungen A.5.21 Management der IKT-Lieferkette A.5.22 Überwachung und Überprüfung von Lieferanten A.5.23 Informationssicherheit bei Cloud-Diensten A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.27 Erkenntnisse aus Sicherheitsvorfällen A.5.28 Sammlung von Beweismitteln A.5.29 Informationssicherheit bei Störungen A.5.30 IKT-Bereitschaft für Geschäftskontinuität A.5.31 Rechtliche und vertragliche Anforderungen A.5.32 Geistige Eigentumsrechte A.5.33 Schutz von Aufzeichnungen A.5.34 Datenschutz und PII A.5.35 Unabhängige Überprüfung der Informationssicherheit A.5.36 Einhaltung von Richtlinien und Standards A.5.37 Dokumentierte Betriebsverfahren A.6.1 Sicherheitsüberprüfung A.6.2 Beschäftigungsbedingungen A.6.3 Sensibilisierung und Schulung A.6.4 Disziplinarverfahren A.6.5 Verantwortlichkeiten bei Beendigung A.6.6 Vertraulichkeitsvereinbarungen A.6.7 Telearbeit A.6.8 Meldung von Sicherheitsereignissen A.7.1 Physische Sicherheitsbereiche A.7.2 Physischer Zutritt A.7.3 Sicherung von Büros und Räumen A.7.4 Physische Sicherheitsüberwachung A.7.5 Schutz gegen Umweltbedrohungen A.7.6 Arbeiten in Sicherheitsbereichen A.7.7 Aufgeräumter Schreibtisch und Bildschirm A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.10 Speichermedien A.7.11 Unterstützende Versorgungseinrichtungen A.7.12 Sicherheit der Verkabelung A.7.13 Instandhaltung von Geräten A.7.14 Sichere Entsorgung oder Wiederverwendung A.8.1 Benutzerendgeräte A.8.2 Privilegierte Zugriffsrechte A.8.3 Einschränkung des Informationszugangs A.8.4 Zugang zu Quellcode A.8.5 Sichere Authentifizierung A.8.6 Kapazitätsmanagement A.8.7 Schutz gegen Schadsoftware A.8.8 Management technischer Schwachstellen A.8.9 Konfigurationsmanagement A.8.10 Löschung von Informationen A.8.11 Datenmaskierung A.8.13 Informationssicherung (Backup) A.8.14 Redundanz von informationsverarbeitenden Einrichtungen A.8.15 Protokollierung A.8.16 Überwachung von Aktivitäten A.8.17 Uhrensynchronisation A.8.18 Nutzung privilegierter Hilfsprogramme A.8.19 Installation von Software auf Betriebssystemen A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken A.8.23 Webfilterung A.8.24 Einsatz von Kryptographie A.8.25 Sicherer Entwicklungslebenszyklus A.8.26 Anforderungen an die Anwendungssicherheit A.8.27 Sichere Systemarchitektur A.8.28 Sicheres Programmieren A.8.29 Sicherheitstests in Entwicklung und Abnahme A.8.30 Ausgelagerte Entwicklung A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen A.8.32 Änderungsmanagement A.8.34 Schutz bei Audit-Tests

Häufig gestellte Fragen

Was hat Fehlplanung mit Informationssicherheit zu tun?

Fehlplanung schafft strukturelle Schwachstellen: unklare Verantwortlichkeiten, ungeeignete Architekturen, fehlende Anpassung an Veränderungen. Diese Schwachstellen werden von anderen Bedrohungen ausgenutzt. Fehlplanung ist damit eine Art Metabedrohung, die das Schadensausmass vieler anderer Gefährdungen vergrößert.

Warum hat G 0.18 so viele zugeordnete Kontrollen?

Weil Fehlplanung jede Ebene der Informationssicherheit betrifft — von der strategischen Ausrichtung über die technische Architektur bis zum operativen Betrieb. Praktisch jede ISO-27001-Kontrolle wirkt direkt oder indirekt gegen Planungsdefizite.

Wie erkenne ich Fehlplanung, bevor ein Schaden eintritt?

Regelmäßige Reviews (interne Audits, Managementbewertungen, Risikoanalysen) und ein funktionierendes Change-Management sind die wirksamsten Instrumente. Wenn Sicherheitsmaßnahmen seit Jahren unverändert sind, obwohl sich die IT-Landschaft grundlegend gewandelt hat, liegt mit hoher Wahrscheinlichkeit ein Planungsdefizit vor.